Datenschutzbeauftragte warnen vor Gesundheits-Apps und Wearables

Die Datenschutzbehörden von Bund und Ländern haben die Hersteller von Fitnessarmbändern, Smart Watches und Mobilanwendungen aufgerufen, die Persönlichkeitsrechte der Nutzer zu achten. Sie setzen sich auch für die Privatsphäre von Arbeitnehmern ein.

In Pocket speichern vorlesen Druckansicht 53 Kommentare lesen
Wearbale

(Bild: c't)

Lesezeit: 3 Min.

"Zahlreiche Wearables und Gesundheits-Apps geben die aufgezeichneten Daten an andere Personen oder Stellen weiter, ohne dass die betroffenen Personen hiervon wissen oder dazu eine bewusste Entscheidung treffen", warnen die Datenschutzbeauftragten des Bundes und der Länder in einem am Donnerstag gefassten Beschluss. Darüber hinaus könnten Bedienfehler oder unzureichende Technik dazu führen, dass Gesundheitsinformationen ungewollt preisgegeben werden.

Einige Dienste wiesen zudem "erhebliche Sicherheitsdefizite" auf, sodass Unbefugte auf die sensiblen Daten zugreifen könnten. Unter bestimmten Umständen bestehe überdies das Risiko, dass Einzelne sich aufgrund "massiver gesellschaftlicher, sozialer oder ökonomischer Zwänge" genötigt fühlten, derartige Technik einzusetzen.

Die Datenschützer appellieren auf ihrer Konferenz in Schwerin daher an die Hersteller von Fitnessarmbändern, Smart Watches und Gesundheits-Apps, nach den Prinzipien "Privacy by Design and Default" datenschutzfreundliche Technik und Voreinstellungen einzusetzen. Personenbezogene Informationen sollten möglichst vermieden und mit ihnen sparsam umgegangen werden. Daten sollten am besten anonymisiert verarbeitet werden.

Vor allem bedürfe der Transfer von Gesundheits- und Verhaltensdaten an Dritte einer gesetzlichen Grundlage oder einer "wirksamen und informierten Einwilligung", meinen die Datenschützer. Soweit eine solche Weitergabe nicht medizinisch geboten sei, sollten Betroffene sie technisch unterbinden können. Eine Pflicht zur "erhöhten Transparenz" sei gesetzlich zu verankern. Der Gesetzgeber solle zudem prüfen, ob und inwieweit bei Wearables materielle Vorteile für den Nutzer davon abhängig gemacht werden dürfen, dass sie in die Preisgabe von Gesundheitsdaten einwilligen. Zuvor hatte Bundesjustizminister Heiko Maas (SPD) Handlungsbedarf in diesem Bereich gesehen.

Die Konferenz hat zudem ausgelotet, welche Felder die Bundes- und Landesgesetzgeber jenseits der EU-Datenschutzreform noch dringend in naher Zukunft beackern sollten. Ganz oben auf der Wunschliste steht ein eigenes Beschäftigtendatenschutzgesetz, nachdem alle bisherigen Anläufe dazu nicht weit gekommen sind. Zudem müssten die Befugnisse der Aufsichtsbehörden gestärkt und die Videoüberwachung öffentlich zugänglicher Räume durch Private eingeschränkt werden.

Die Datenschutzbeauftragten haben ferner auf "zahlreiche offene Fragen" zum geplanten transatlantischen Privacy Shield hingewiesen. Die Artikel-29-Gruppe der europäischen Kollegen müsse sich zu dem Vorhaben kommende Woche "unmissverständlich und verbindlich" positionieren. In einer Entschließung zu den Brüsseler Anschlägen unterstreicht die Konferenz, dass der Datenschutz einem effektiven Kampf gegen den Terrorismus nicht entgegenstehe und "nicht für etwaige Ermittlungs- oder Vollzugsdefizite der Sicherheitsbehörden verantwortlich gemacht werden kann".

Die Datenschützer geben außerdem Hinweise, wie die vom IT-Planungsrat ins Spiel gebrachten "Servicekonten" für Bürger datenschutzkonform zu gestaltet werden können. Verabschiedet hat die Konferenz auch eine datenschutzrechtliche Orientierungshilfe für Online-Lernplattformen im Schulunterricht. (anw)